Adobe終於修補PDF漏洞

Adobe終於發布了PDF漏洞（JBIG2零時差漏洞）的修補程式，這個漏洞會讓PDF檔暗中對使用者的電腦植入惡意木馬程式。只要使用者收到內含惡意指令的PDF檔，Acrobat的JavaScript功能會呼叫IE自動執行PDF檔中的惡意指令，這些惡意指令往往會進一步在使用者沒有發現的情況下，暗中從網路下載木馬程式，植入到電腦中。

早在今年2月時，Adobe就向使用者發出警告，要求用戶手動關閉Acrobat的JavaScript功能，避免觸發惡意程式。但是，不少資安人員，例如賽門鐵克、Shadowserver基金會等專家都發現，即使關閉了Acrobat的JavaScript功能，仍然無法防止這類攻擊。使用者甚至不用打開PDF檔，只要收到有問題的PDF檔案，就會觸發內含的攻擊程式。不少資安專家甚至建議使用者暫時移除Acrobat，改用其他PDF閱讀程式。

Adobe按照既定時間，釋出了Adobe Reader和Acrobat 9.1版的修補程式。不過，7.0和8.0版的修補程式則要到3/18才會發布。Unix版Adobe Reader 9.1則需等到3/25才會修補。文⊙王宏仁